2020 a VDI éve lehet – a vírus miatt

Visszatérő mondás a szakmai berkekben, hogy minden aktuális év kezdetén úgy tűnik az aktuális év lesz a VDI éve. Aztán valahogy ez sosem valósul meg. Vannak olyan ügyfelek, akik használnak ilyet, de sosem történik benne olyan nagy áttörés.

Most sajnos aktuális a távoli munkavégzés, mivel vészforgatókönyekben igen fontos rész az, hogy távolról, az irodától függetlenül vannak-e olyan munkafolyamatok, munkakörök, amelyeket távolról is el lehet végezni és ha igen, akkor milyen megoldás tudja ezt biztosítani.

Sok munkahelyen a munkavégzés eszköze az asztali számítógép, ami bár nehezen hordozható, de semmiképp sem alkalmas arra, hogy egy munkavállaló kezébe adjuk és lehetővé tegye, hogy az otthonából dolgozzon. A hordozható számítógépek bár gyakoriak, de van olyan alkalmazás is, ahol igazából arra használt elsősorban, hogy irodai területen a tárgyalókban használni lehessen a munkaállomást, ne csak a felhasználó asztalán.

Az sokkal gyakoribb, hogy ténylegesen lehetséges például valamilyen VPN megoldással, az irodai/adatközponti hálózathoz kapcsolódni és ezáltal a céges alkalmazásokat és szolgáltatásokat elérni. Ez minden esetben egy menedzselt végpont, rajta vírusirtóval, mindenféle menedzsment szoftverrel és jó adag beállítással rendelkező eszköz. Ez a szerencsés eset, azok a munkáltatók, ahol nagyon nagy arányban vannak ilyen készülékek és a vállalati tűzfal(ak), VPN koncentrátor(ok) illetve a vállalati internet-kapcsolat is elegendő kapacitással bír(nak) jó eséllyel meg tudják ugrani a távmunka ideiglenes bevezetését. Természetesen a papír alapú ügyintézés ilyen értelemben nem lehetséges, de nem is lényeges, mivel azzal nem lesz előrébb egy dolgozó, ha otthon ki tud nyomtatni magának – mert van például saját nyomtatója – egy dokumentumot – ha engedélyezve van ez egyáltalán – de minden más működni fog. Természetesen ez lehet megkövetel néhány változtatást a biztonsági szabályzatban, de alapvetően technikai akadálya nem igen van.

Na de mit tehet az akinek nincsenek notebook/laptop eszközei, de távmunkát szeretne biztosítani a munkavállalók számára?

Itt jön képbe a VDI, viszont mielőtt felszisszen bárki van egy speciális felhasználási módja:

“Az asztali számítógépet is elérheti távolról, szabályokat lehet betartatni és akár képet rögzíteni”

Ott fent a piros nyil, az a gép, amit a munkavállalók az irodában használnak.

Én elsősorban VMware Horizon View-ról beszélek itt, de Citrix is alkalmas erre és persze vannak SaaS megoldások is rá mint a LogMein. Én maradok az első kettőnél, még inkább az elsőnél.

Hogy lehet ezt megvalósítani?

Opció 1: Internet -> UAG -> Horizon Connection Server -> Felhasználó asztali gépe. Itt látható alább, sőt mi több, ez megfejelhető mindenféle második faktoros authentikációval.

Ha valaki RDP protokollal használja akkor egy Balabit SCB simán rögzíti a munkameneteket.

Opció 2: VPN -> UAG (nem feltétlen kell ebben az esetben) -> Horizon Connection Server -> Felhasználó asztali gépe. Itt is lehet második faktor ha kell.

Minkét fenti esetben az otthon lévő gépre telepíteni kell a Horizon Client komponenst, az irodai gépekre pedig a Horizon Agent-et. Az előbbi nem kötelező, mert HTML5-ös felületről, bármilyen modern böngészőből is lehet kapcsolódni, akkor meg még a Horizon Client sem kell. Ez látható itt alább.

Például mobilról is működik:

Az opció 1 és az opció 2 között az a különbség, hogy a Horizon környezet egy VPN belépés után érhető csak el a második esetben. Mindkét megoldás működik, kinek hogy tetszik jobban.

Hogyan szabályozhatom mit lehet és mit nem?

Házirendekkel. Vannak a Horizon Connection Server-ben definiálható szabályok – korlátos számmal – és ADMX template alapúak a tartományi házirendek felbővítésére. Be lehet állítani bármit, például, hogy működjön-e a vágólap, hogy USB eszközöket be lehet-e csatlakoztatni a távoli gépre stb.

Felsorolni is sok, inkább itt keress: https://docs.vmware.com/en/VMware-Horizon-7/7.7/horizon-remote-desktop-features/GUID-5B4E2061-E798-4A58-BB58-0B6FCC63DFD8.html

Mi kell hozzá?

  1. VMware Horizon licensz, a felhasználók számával egyenlő mennyiségben.
  2. Kell még hozzá egy virtuális gép, ha nem az internet a forrás hanem a VPN.
    vagy
    Ha az internet direktben a forrás, akkor pedig két virtuális gép kell.

Mindent duplázni kell, ha redundancia is kell – illetve ha felhasználók számában 100-200 fölé megyünk.

Ha VPN kell elé, akkor Cisco virtuális ASA kiváló lehet. A pirossal keretezett rész az érdekes.(link)

Mennyi idő kell egy ilyen bevezetéshez?

Egyetlen egy nap. (disclaimer: ha nyitva vannak a portok a tűzfalon :))

És hogy miért? Pontosan azért mert ez olyan VDI, ahol nem kell törődni a felhasználói profilok menedzsmentjével, az átirányított könyvtárakkal vagy a konzisztens alkalmazás és felhasználói környezet megteremtésével, tekintve, hogy azt a kialakított gépet használjuk fel, amelyet a felhasználó az irodából is használ. Nincs infrastruktúra igénye, nem kell IOPS-ot számolni a tárolón, illetve RAM-ot kalkulálni a virtualizációban. Ha igazi VDI-ről van szó és nincs sok speciális alkalmazás akkor 2 hét.

Felmerül a kérdés, hogy minek ide Horizon? Azért mert az a kontrol és biztoság amit ad, illetve ha nem RDP-n használja valaki hanem Blast-on, akkor olyan sávszélesség és késleltetés-megtakarítás realizálható ami nagyon közel hozza az irodai gépen tapasztalható élményt, úgy hogy a felhasználó és aközött a távolság kerületekben vagy megyékben mérhető.

Fontos, ez egy lépcső. Kiegészíthető Workspace ONE-al az MDM képességek érdekében, bővíthető NSX-T-vel ha VDI-re térne valaki később. A Cisco virtual ASA egy opció, de van Fortinet és Checkpoint alternatíva is. Mindent lehet tovább és még mélyebben szofisztikálni, arra azonban idő kell és az most lehet nem lesz annyi mint mindenki reméli, de tényleg ne legyen igazam.